AH - Authentication Header

Authentication Header (AH) sorgt innerhalb von IPsec (VPN) für die Authentizität der zu übertragenen Daten und die Authentifizierung des Senders. Mit AH kann man "nur die Integrität und Echtheit" der Daten sicherstellen. Die Nutzdaten werden nicht verschlüsselt und sind damit für jeden lesbar.
AH wird selten verwendet, weil "nur Integrität" meist nicht ausreicht. In der Regel möchte man die Daten noch verschlüsseln, um sie vor fremdem Zugriff zu schützen.
Neben Authentication Header (AH) gibt es auch noch Encapsulating Security Payload (ESP). Beide können gemeinsam oder alleine genutzt werden. Im Unterschied zu Authentication Header verschlüsselt Encapsulating Security Payload die Daten.

Wie funktioniert Authentication Header im Tunnelmodus?

Der Tunnelmodus kann bei allen VPN-Anwendungen eingesetzt werden. Im Tunnelmodus wird das gesamte IP-Paket verschlüsselt in ein neues IP-Paket gepackt. Das bedeutet, die Original-IP-Adresse ist von außen nicht mehr sichtbar. Der Tunnelmode verschleiert die Original-Adresse des Absenders.
Im Tunnelmodus kapselt IPSec mit AH das ganze Paket inklusive IP-Header in ein neues Paket mit einem neuen IP-Header und bildet über das gesamte IP-Datenpaket eine Prüfsumme. Es wird das gesamte IP-Paket, bis auf veränderbare Felder, in die "Authentication" einbezogen. Über die Prüfsumme ist beim Empfänger die Vollständigkeit und Korrektheit der Daten und die Identität des Absenders feststellbar.
Im Tunnelmodus kommen für den AH-Header 28 bis 32 Byte und für den zusätzlichen IP-Header 20 Byte hinzu.
Der Tunnelmodus bereitet Probleme im Zusammenhang mit einem NAT-Router. Denn die Absender-Adresse stimmt mit der Adresse im Original-Header nicht überein. Der NAT-Router manipuliert die IP-Adressen. Dadurch wird ein solches Datenpaket beim Empfänger als ungültig verworfen.

Wie funktioniert Authentication Header im Transportmodus?

Es ist für IPsec nicht unbedingt erforderlich IP-Pakete vollständig neu zu encapsulieren (einzukapseln). Es ist von der Kommunikation abhängig. Beim Transportmodus wird der Original-IP-Header weiter benutzt und zusätzlich ein AH-Header eingefügt. Es kommen für den AH-Header 28 bis 32 Byte hinzu. Vorteil des Transportmodus ist der geringe Overhead gegenüber dem Tunnelmodus.
Der Transportmodus kann ausschließlich bei einer Host-to-Host-Verbindung verwendet werden.

Übersicht: IPsec

• IPsec - Security Architecture for IP
• ESP - Encapsulation Security Payload

Weitere verwandte Themen:

• NAT - Network Address Translation
• VPN - Virtual Private Network
• VPN-Tunnel / VPN-Endpunkt
• VPN-Protokolle und VPN-Lösungen

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!

Artikel-Sammlungen zum Thema Kommunikationstechnik

Collection: Internet of Things

Was du über das Internet of Things wissen solltest.

eBook kaufen

Collection: Mobilfunk und 5G

Was du über Mobilfunk und 5G wissen solltest.

eBook herunterladen

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!